Реализация Port Knocking на Mikrotik для защиты подключения к ресурсам

У меня portknocking в продакшене работает. Работает с помощью пингов с разной длиной пакетов.
В принципе, все настроено похоже. Только одна проблема - возможность утечки параметров пинга когда отдаешь командный файлик человеку, который будет подключаться. Слегка обезопасился, запаковав командный файлик в exe-шник. Чтобы и сам пользователь не видел как открывается замочек и посторонние не видели в явном виде, хотя, если перехватить поток трафика, легко можно будет понять. Поэтому главный способ подключения - с фиксированных IP или VPN. А так, у меня банятся не только те, кто пытается сканировать порты, но и те, кто просто стучится в любой стандартный порт, кроме разрешенных адрес-листов. Банятся на неделю и на разных узлах количество забаненных в реальном времени колеблется от 2 до 6 тысяч. Много любопытных всяких ...

Welk

Провожу индивидуальные консультации по компьютерным сетям. Пишите мне в ВК

DaveRylenkov

Вы сказали, что злоумышленник может заметить что мы стучимся... Но ведь когда мы стучимся - соединение не устанавливается (коннекшена не происходит), а значит и в логах у злоумышленника это отображаться не будет.

СашкаБелый-чм

для порткнокинга можно использовать программу netcat

TrevrReznik

как постучаться на такой микротик, если в качестве клиента выступает другой микротик? если в цепочке только tcp-порты, то наверное как-то через fetch можно подёргать порты, а если в цепочке есть udp?

krdtabak

А как можно настроить Port Knocking на микротике, если он второй, а интернет получает от роутера МТС?
Есть белый адрес, webserver на Apache работает, а knok-knok не получается... ничего не записывает в address-list

НадеждаКотова-эи

А если вот настроил port knocking, постучался у, установилось соединение, потом можно в течение этого часа (интервал на видео) подключится по winbox, при условии, что порт тот же самый?

znecdeem

Правильно ли я понимаю, при таком конфиге, если просканировать порты в обратной последовательности, начиная от больших портов к меньшим, то SSH откроется. Т. к. Цепочка портов последовательная, и не предусмотрен бан за перебор

MrMX

Подскажите пожалуйста, правильно ли я понимаю следующую последовательность действий Port Knocking для Winbox: 1) порт 8291 в IP-Services должен быть открыт (если у меня прописан здесь доступ только из внутр сетиэто ничего?) 2) Создать правила в Filter rules с использованием адресс-листов. А дальше как подключиться из удаленного ПК к микротику (на внешнем белом IP) - где указывать внешний IP с тремя наборами разных портов - в адресной строке барузера? в четвертый раз указать внешний адрес маршрутизатора и порт 8291? Просто не пойму, как реально открыть Winbox. И еще вопрос: как изменить доступ по стандартному 8291 на другой, нестандартный порт?.Спасибо

БогданКозюпа

Здравствуйте. Подскажите пожалуйста, этим способом возможно делать настройки на микротике, ребут ИТП заходя из вне используя смартфон на Андроиде подключенный по мобильной сети. И какие программы нужны на сам смартфон что бы пользоваться андроидским винбоксом "Mikrotik" ?

buzokbuz

Давыд, а что представляет ваша домашняя лаборатория? На чем экспериментируете?

mostrakt

Давыд, есть предложение запилить ролик о двух провайдерах в микротик. Т.е. один канал+один резервный.

RevoltHQX

Привет. А где можно скачать zenmap на русском языке?

ИсаакНьютон-цк

Или показывай все с нуля ребятам или не показывай ничего.

Stek_